Check Point wis ngenali kerentanan ing dekoder format kompresi audio ALAC (Apple Lossless Audio Codec) sing ditawakake MediaTek (CVE-2021-0674, CVE-2021-0675) lan Qualcomm (CVE-2021-30351). Masalah kasebut ngidini kode penyerang dieksekusi nalika ngolah data sing diformat khusus ing format ALAC.
Bebaya kerentanan saya tambah amarga mengaruhi piranti sing nganggo platform Android sing dilengkapi chip MediaTek lan Qualcomm. Akibat serangan kasebut, panyerang bisa ngatur eksekusi malware ing piranti sing nduweni akses menyang komunikasi pangguna lan data multimedia, kalebu data saka kamera. Dikira-kira 2/3 kabeh pangguna smartphone adhedhasar platform Android kena pengaruh masalah kasebut. Contone, ing AS, total bagean kabeh smartphone Android sing didol ing kuartal kaping 4 2021 sing dikirim nganggo chip MediaTek lan Qualcomm yaiku 95.1% (48.1% - MediaTek, 47% - Qualcomm).
Rincian babagan eksploitasi kerentanan durung diungkapake, nanging dilaporake manawa komponen MediaTek lan Qualcomm kanggo platform Android ditambal ing Desember 2021. Laporan Desember babagan kerentanan ing platform Android ngenali masalah kasebut minangka kerentanan kritis ing komponen proprietary kanggo chip Qualcomm. Kerentanan ing komponen MediaTek ora kasebut ing laporan kasebut.
Kerentanan menarik amarga oyod. Ing 2011, Apple mbukak kode sumber codec ALAC, sing ngidini kompresi data audio tanpa mundhut kualitas, miturut lisensi Apache 2.0, lan bisa nggunakake kabeh paten sing ana gandhengane karo codec kasebut. Kode kasebut diterbitake nanging ora dijaga lan ora diganti sajrone 11 taun kepungkur. Ing wektu sing padha, Apple terus ndhukung implementasine sing digunakake ing platform kasebut, kalebu ngilangi kesalahan lan kerentanan. MediaTek lan Qualcomm adhedhasar implementasi codec ALAC ing kode sumber terbuka asli Apple, nanging ora kalebu kerentanan sing ditangani ing implementasine Apple ing patch kasebut.
Ora ana informasi babagan kerentanan ing kode produk liyane sing uga nggunakake kode ALAC sing wis lawas. Contone, format ALAC wis didhukung wiwit FFmpeg 1.1, nanging kode karo implementasine decoder aktif maintained.
Source: opennet.ru